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(57) Abstract 




The invention relates to a method for securing at 
least one system protected by a predetermined hierar- 
chy of cryptographic keys, more particularly a Pay-TV 
system, against unauthorized users. Current key hierar- 
chy systems do not enable detection of unreliable clients 
who make copies of a group key transmitted by a system 
provider and pass them on to other persons. According 
to the invention, this is solved by detecting at least one 
individual cryptographic key assigned to an unreliable 
user by forming the intersection of at least two prede- 
termined subsets formed at different times and belonging 
to the same hierarchy. 

(57) Zusammenfossung 

Die Erfindung betrifft ein Veifahren zum 
Sichem wenigstens eines durch eine vorbestimmte 
Hierarchie von kryptografischen SchlQsseln geschfltzten 
Systems, insbesondere eines Pay-TV-Systems, gegen 
unberechtigte Nutzer. In Schlusselhierarchie-Systemen 
gibt es derzeit keine MOglichkeit. einen unzuveriassigen 
Kunden zu ermilteUi, der einen vom Systembetreiber 
Ubermittelten GruppenschlQssel kopiert und an 
beliebige Personen weiterverSuBert hat Die Erfindung 
schiagt als Ldsung vor, daB wenigstens ein einem 
unzuveriassigen Nutzer zugeordneter. individueller 
kryptografischer Schlttssel ermittelt wird. indem die 
Schnittmwige von wenigstens zwei voii)estimmten, zu 
verschiedenen Zeitpunkten gebildeten Teilmengen. die 
der gleichen Hierarchieebene angehdren. gebildet wird. 
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Vf^rfahrg^n zum Sirhern eines durch eine Sc hlusselhierarchie 

aeschutzt--en Systems 

Die Erfindung betrifft ein Verfahren zum Sichern wenigstens 
eines durch eine vorbestimmte Hierarchie von 
kryptograf ischen Schliisseln geschutzten Systems, 
insbesondere eines Pay-TV- Systems, gegen unberechtigte 
Nutzer gemaS Anspruch l. 

Auf vielen Einsatzgebieten wird eine Schlusselhierarchie 
verwendet, um aus den individuellen kryptograf ischen 
Schlusseln der Kunden einen fur eine groSe Anzahl von Kunden 
gemeinsamen Schlussel abzuleiten. Einen typischen 
Anwendungsfall stellt ein Pay-TV-System dar. Mit Hilfe einer 
Schlusselhierarchie ist es moglich, die Erlaubnis zum 
Empfang eines Pay-TV- Programms selektiv nur an ausgewahlte 
Kunden zu verteilen. Eine mogliche Schlusselhierarchie weist 
die Form einer Baumstruktur auf. In der untersten 
Hierarchieebene erhalt jeder potentielle Kunde zunachst eine 
Chipkarte Oder ein anderes Sicherheitsmodul, auf der ein 
individueller, eindeutig dem Kunden zugeordneter Schlussel 
gespeichert ist. Der Pay-TV- Programmanbieter speichert alle 
diese individuellen kryptograf ischen Schlussel in einer 
zentralen Speichereinrichtung. Stufenweise wird danach die 
Schlusselhierarchie aufgebaut, indem in der zweiten Ebene 
zunachst die Schlussel der untersten Ebene zu mehreren 
Teilmengen vorbestimmter GroSe zusammengef aSt werden. Jeder 
Teilmenge wird ein kryptograf ischer Gruppenschlussel 
zugeordnet, der mit Hilfe der die kryptograf ischen Schlussel 
der untersten Ebene, die die jeweilige Teilmenge bilden, 
ubermittelt wird. Anschliefiend werden in der dritten Ebene 
die Teilmengen der zweiten Ebene zu mehreren Teilmengen 
zusammengef afit, wobei jede Teilmenge der dritten Ebene 
groSer ist als jede Teilmenge der zweiten Ebene. Jeder 
Teilmenge der dritten Ebene wird ein kryptograf ischer 
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Gruppenschliissel zugeordnet, der mit Hilfe der 
kryptograf ischen Gruppenschliissel der zweiten Ebene, die die 
jeweilige Teilmenge bilden, Obermittelt wird. Dieses 
verfahren kann solange fortgesetzt werden, bis ein 
gemeinsamer Schlussel fur die Kunden, die zum Empfang des 
Pay-TV-Programms berechtigt sind, generiert ist . Auf ein 
solches, durch eine Schliisselhierarchie geschutztes System 
sind verschiedene Angriffe denkbar, die alle davon ausgehen, 
da6 ein unzuverlassiger Kunde den individuellen Schlussel, 
einen oder mehrere Gruppenschliissel Oder den gemeinsamen 
Schlussel, die auf seiner Oder einer anderen Chipkarte 
gespeichert sind, kennt und diese unberechtigterweise an 
beliebige Dritte weitergibt. Man unterscheidet drei mogliche 
Angriffe auf ein solches System: 

1. Der unzuverlassige Kunde kopiert den gemeinsamen Schlussel 
und gibt diesen unberechtigterweise, z.B. auf einer 
Piratenchipkarte, an andere Personen weiter. Dieser 
Angriff kann dadurch abgewehrt werden, dal^ der 
Systembetreiber, der die kryptograf ischen Schlussel 
generiert, den gemeinsamen Schlussel in entsprechend kurz 
gewahlten zeitintervallen neu generiert . 

2. Ein unzuverlassiger Kunde kopiert seinen individuellen 
kryptograf ischen Schlussel und gibt diesen 
unberechtigterweise an andere Personen weiter. In diesem 
Fall kann der Kunde relativ einfach von der Nutzung des 
Systems ausgeschlossen werden, wenn der kopierte 
individuelle Schlussel, z.B. auf einer Piratenkarte, 
erkannt wird. Denn zwischen dem individuellen 
kryptograf ischen Schlussel und der dazugehorigen Person 
besteht ein eindeutiger Zusammenhang. 

3. Ein unzuverlassiger Kunde kopiert einen Gruppenschliissel 
und gibt diesen weiter. In diesem Fall ist es ohne 
weiteres nicht moglich, den unzuverlSssigen Kunden 
eindeutig anhand des kopierten Gruppenschlussels zu 
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identif izieren. Der Systetnbetreiber muS entweder alle 
Kunden der durch den Gruppenschlussel identif izierten 
Gruppe von der Benutzung des Systems ausschlieSen oder den 
Mifibrauch durch den kopierten Gruppenschlussel tolerieren. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein 
verfahren bereitzustellen, mit dem ein durch eine 
Schlusselhierarchie geschutztes System gegen unberechtigte 
Nutzer effektiver geschutzt werden kann. 

Dieses technische Problem lost die Erfindung mit den 
Verfahrensschritten des Anspruchs 1. 

Jedem potentiellen Systemnutzer wird in der untersten Ebene 
der Schlusselhierarchie ein individueller kryptograf ischer 
Schliissel zugeordnet, der ihm beispielsweise durch eine 
Chipkarte oder ein anderes Sicherheitsmodul ausgehandigt 
werden kann. Die individuellen kryptograf ischen Schlussel 
jedes Nutzers werden in einer dem System zugeordneten 
Speichereinrichtung abgespeichert . Zu vorbestimmten 
diskreten Zeitpunkten wird anschlieSend wenigstens eine 
hohere Hierarchieebene von kryptograf ischen Schlusseln durch 
folgende Schritte gebildet: die kryptograf ischen Schlussel 
der unmittelbar niedrigeren Hierarchieebene werden in 
beliebiger Weise zu mehreren Teilmengen vorbestimmter GroEe 
zusammengefafit, wobei jeder Teilmenge ein kryptograf ischer 
Schlussel zugeordnet wird, der mit Hilfe der die jeweilige 
Teilmenge bildenden kryptograf ischen Schlussel ubermittelt 
und anschlieSend in der Speichereinrichtung abgelegt wird. 
Danach wird wenigstens ein einem verdachtigen Nutzer 
zugeordneter individueller kryptograf ischer Schlussel 
ermittelt, indem die Schnittmenge von wenigstens zwei 
vorbestimmten, zu verschiedenen Zeitpunkten gebildeten 
Teilmengen, die der gleichen Hierarchieebene angehoren, 
gebildet wird. 



wo 99/33270 PCT/EP97/07124 

4 

vorteilhafte weiterbildungen sind in den Unteranspruchen 
angegeben , 

Statt zu vorbestimmten diskreten Zeitpunkten die hoheren 
Hierarchieebenen neu zu bilden, konnen fur unterschiedliche 
Systetnbetreiber gleichzeitig verschiedene 
Schlusselhierarchien erzeugt warden. Jede 
Schlusselhierarchie weist wenigstens eine hohere 
Hierarchieebene von kryptograf ischen Schlusseln auf . Eine 
hohere Hierarchieebene wird dadurch gebildet, daS die 
kryptograf ischen Schliissel der unmittelbar niedrigeren 
Hierarchieebene in beliebiger weise zu mehreren Teilmengen 
vorbestitranter GroSe zusammengef aEt werden, wobei jeder 
Teilmenge ein kryptograf ischer Schliissel zugeordnet wird, 
der aus den die jeweilige Teilmenge bildenden 
kryptograf ischen Schliissel generiert und anschlieSend in der 
Speichereinrichtung abgelegt wird. Danach wird wenigstens 
ein einem verdachtigen Nutzer zugeordneter individueller 
kryptograf ischer Schliissel ermittelt, indem die Schnittmenge 
von wenigstens zwei vorbestimmten Teilmengen, die der 
gleichen Hierarchieebene verschiedener Schliisselhierarchien 
angehoren, gebildet wird. 

Man kann zur Realisierung dieses verfahrens sukzessive immer 
groEere Teilmengen entsprechend der Anzahl von 
Hierarchieebenen bilden. Ein mogliches Beispiel hierftir ware 
eine Schliisselhierarchie in Baumstruktur . Eine besonders 
effiziente Losung ergibt sich jedoch, wenn man geometrische 
Strukturen verwendet, urn die kryptograf ischen Schliissel zu 
Teilmengen vorbestimmter GroSe zusammenzuf assen. 
Geometrische Strukturen bieten den Vorteil, daS die 
Eigenschaften der Schnittmengenbildung verschiedener 
Teilmengen sehr gut beschrieben werden konnen. 

Vorzugsweise kann eine fiir mehrere Kunden erzeugte 
Schliisselhierarchie mit Hilfe eines endlichen affinen Raums 
AG(d, q) der Dimension d iiber dem Korper GF{q) realisiert 
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werden (siehe A. Beutelspacher, Einfuhrung in die endliche 
Geometrie I & II, BI wissenschaf tsverlag 1982, und A. 
Beutelspacher und U. Rosenbaum, Projektive Geometrie, vieweg 
Verlag, 1992) . 

Die Schnittmengenbildung wird noch einfacher, wenn die 
geometrische Struktur ein endlicher projektiver Raum PG(d, 
q) der Dimension d uber dem Korper GF(q) ist. 

Die Erf indung wird nachfolgend anhand mehrerer 
Ausfuhrungsbeispiel in verbindung mit den beiliegenden 
Zeichnungen n^her erlautert. Es zeigen: 

Fig. 1 eine Schlusselhierarchie fur vier berechtigte 

Teilnehmer in Baumstruktur, die zu einem ersten 

Zeitpunkt gebildet worden ist, 
Fig. 2 eine Schlusselhierarchie nach Fig. 1, die jedoch zu 

einem zweiten Zeitpunkt generiert worden ist. 
Fig. 3 eine Schlusselhierarchie fiir 27 Teilnehmer des 

affinen Raums AG(3,3), die zu einem ersten zeitpunkt 

gebildet worden ist, 
Fig. 4 eine schlusselhierarchie nach Fig. 3, die zu einem 

zweiten Zeitpunkt erzeugt worden ist, und 
Fig. 5 zwei verschiedene, zur gleichen Zeit exist ierende 

Schlusselhierarchien . 



In Fig. 1 ist eine Schlusselhierarchie in Baumstruktur 
beispielsweise fur ein Pay-TV-System dargestellt, das 
beispielsweise funf Kunden umfaSt. Jeder Kunde i erhalt von 
einem Sytembetreiber Oder Pay-TV- Programmanbieter einen 
individuellen kryptograf ischen Schliissel PKi^ der in der 

untersten Hierarchieebene angeordnet wird. Die unterste 
Hierarchieebene enthalt somit fiinf individuelle 
kryptograf ische Schliissel PK1-PK5. Der Anbieter speichert 

diese Schliissel in einer zentralen Speichereinrichtung. Mit 
Hilfe der verwendeten Baumstruktur ist es nunmehr moglich, 
ausgewahlten Kunden die Erlaubnis zum Empfang eines Pay-TV- 
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Prograrams einzuraumen. Beispielsweise sollen nur die Kunden 
1, 2, 3, und 4 zum Empfang des TV-Programms autorisiert 
werden, der Kunde 5 dagegen nicht. Urn diese 

Berechtigungszuweisung zu erreichen, warden die Kunden 1 bis 
4 in der nachsthoheren Hierarchieebene - das ist die zweite 
Ebene - vorteilhaf terweise zu zwei Teilmengen mit jeweils 
zwei Kunden zusammengef afit . In der Praxis geschieht dies 
dadurch, daS in einer zentralen Stelle zunachst fur die 
beiden Teilmengen jeweils ein Gruppenschlussel GK^ bzw. GK2 
generiert wird. Der Gruppenschlussel GK^ wird mit Hilfe der 
beiden individuellen kryptograf ischen Schlussel PKi und PK2 

der Kunden 1 bzw. 2 ubertragen, wohingegen der 
Gruppenschlussel GK2 mit Hilfe der beiden individuellen 
kryptograf ischen Schliisseln PK3 und PK4 der Kunden 3 bzw. 4 

ubertragen wird. Die Kunden 1 und 2 konnen mittels ihres 
individuellen kryptograf ischen Schlussel PK^ bzw. PK2 den 
Gruppenschlussel GKi berechnen, wohingegen die Kunden 3 und 
4 mittels ihrer individuellen kryptograf ischen Schlussel PK3 
bzw. PK4 den Gruppenschlussel GK2 berechnen konnen. Der 
Kunde 5 hingegen kann keinen der beiden Gruppenschlussel 
entschlusseln. In der hochsten Hierarchieebene - das ist 
hier die dritte Ebene - wird danach eine Gesamtmenge 
gebildet, die die beiden Teilmengen der unmittelbar 
darunterliegenden Ebene 2 und damit die vier berechtigten 
Kunden enthSlt. In der zentralen Stelle wird dazu ein 
gemeinsamer Schlussel SK mit Hilfe der beiden 
Gruppenschlussel GKi und GK2 der zweiten Ebene ubertragen. 

Da das vom Anbieter ausgestrahlte Pay-TV-Programm mit dem 
geraeinsamen Schlussel SK verschlusselt ist, konnen die 
Kunden l bis 4 das Programm entschlusseln und empfangen, der 
Kunde 5 hingegen nicht. Die in Fig. 1 dargestellte 
Schlusselhierarchie umfafit beispielhaft drei 
Hierarchieebenen . 

Die Erfindung beschaftigt sich nunmehr mit dem Problem, 
einen unzuverlassigen Kunden ausfindig zu machen, der einen 
Gruppenschlussel GKi oder GK2 kopiert und 

unberechtigterweise 
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an Dritte weitervertreiben hat. Der unzuverlassige Kunde 
kann die "gestohlenen" Gruppenschliissel in Form von Piraten- 
Chipkarten verauSern Oder auch unter einer e-Mail-Adresse 
anbieten. Es sei angenommen , daS es sich bei detn Kunden 4 um 
den unzuverlassigen Kunden, nachfolgend auch Pirat genannt, 
handelt, der den Gruppenschlussel GK2,, der von der 

zentralen Stelle zuvor rundgesendet worden ist, kopiert und 
nun an beliebige Dritte weiterverauSert hat. wenn der 
Systetnbetreiber in den Besitz des kopierten 
Gruppenschlussels GK2 kommt, kann er den Piraten nicht 
eindeutig ermitteln, da der Gruppenschlussel GK2 den beiden 
Kunden 3 und 4 zugeordnet ist. Es ist nun Ziel der 
Erfindung, den unzuverlassigen Kunden 4 aus der Gruppe von 
Kunden herauszuf inden, die durch den Gruppenschlussel GK2 

identif iziert sind. Dazu wird die verdSchtige Gruppe mit 
ihrem zugeordneten kryptograf ischen Schlussel GK2 in der 

zentralen Stelle abge spei chert . 2u einem vorbestimmten 
Zeitpunkt generiert die zentrale Stelle eine neue 
Schlusselhierarchie, die in Fig. 2 dargestellt ist. 
gebildet. Dazu werden willkurlich zwei neue Teilmengen 
gebildet, die beispielsweise die Kunden 1, 3 bzw. 2 und 4 
umfassen. Die Neubildung der Teilmengen wird in der 
zentralen Stelle verwirklicht , indem fur jede Teilmenge ein 
neuer Gruppenschlussel GKi» bzw. GK2 ' generiert wird. 

Daruber hinaus wird auch ein neuer gemeinsamer Schlussel SK' 
erzeugt. Die Vorgehensweise zur Erzeugung von 
Gruppenschlussel und eines gemeinsamen Schlussels wurde 
bereits oben ausfuhrlich erl^utert. Die neu generierten 
kryptograf ischen Schlussel werden wiederum zu den einzelnen 
Kunden ausgesendet und in der zentralen Stelle 
abgespeichert . Der Pirat, in unserem Fall der Kunde 4, ist 
nunmehr gezwungen, den neuen Gruppenschlussel GK2' zu 

kopieren und an beliebige Personen zu verteilen. Sobald die 
zentrale Stelle im Besitz des kopierten Gruppenschlussels 
GK2* ist, wird dieser in der zentralen Speichereinrichtung 

abgespeichert. Anschliefiend wird die Schnittmenge aus der 
Teilmenge, der der kryptograf ische Gruppenschlussel GK2 
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zugeordnet ist, und der Teilmenge, der der kryptograf ische 
Gruppenschlussel GK2 ' zugeordnet ist, ermittelt. Da die zum 
ersten Zeitpunkt (s. Fig. 1) gebildete Teilmenge die Kunden 
3 und 4 und die zum zweiten Zeitpunkt (s. Fig. 2) gebildete 
Teilmenge die Kunden 2 und 4 enthSlt, ergibt sich als 
Schnittmenge der Kunde 4. Die zentrale Stelle kennt nun den 
unzuverlassigen Kunden und kann ihn von der Nutzung des 
Systems ausschlie&en, indem beispielsweise sein 
individueller kryptograf ischer Schliissel PK4 gesperrt wird. 

Obwohl die in Fig. 1 und 2 gezeigten Schlusselhierarchien 
nur vier Kunden erfassen, konnen Schlusselhierarchien 
beliebiger GroEe verwendet werden. Damit erhoht sich 
selbstverstandlich auch der Aufwand, einen unzuverlassigen 
Kunden zu finden, da die Anzahl der Gruppen groSer ist. 
In Fig. 3 und 4 sind zwei zu unterschiedlichen Zeitpunkten 
gebildete Hierarchien von Teilmengen beschrieben, die mit 
Hilfe des endlichen affinen Raums AG(3,3) der Dimension 3 
uber den Korper GF(3) realisiert werden konnen. Der in Fig. 
3 und 4 dargestellte af fine Raum besteht aus 27 Punkten, die 
den potentiellen Pay-TV-Kunden entsprechen. Es ist 
vorteilhaft, die Hierarchie von Teilmengen mit Hilfe des 
endlichen affinen Raums zu realisieren, da damit die 
Eigenschaften der Schnittmengenbildung verschiedener 
Teilmengen sehr genau beschrieben werden kann. Fig. 3 zeigt 
die zu einem ersten Zeitpunkt gebildete Hierarchie. Jedem 
Kunden wird wieder ein individueller kryptograf ischer 
Schlussel PKi bis PK27 bereitgestellt . Man kann sich nun 

vorstellen, daE jedem Punkt des affinen Raums ein 
kryptograf ischer Schlussel des jeweiligen Kunden zugeordnet 
ist. Die 27 Punkte konnen sukzessive zu Teilmengen von drei 
bzw. neun Punkten zusammengef afit werden, indem man zunachst 
neun parallele Geraden auswahlt und danach drei parallele 
Ebenen, die mit den Geraden vertraglich sein mussen. Mit 
anderen Worten mussen die Geraden jeweils vollstandig in 
einer der drei Ebenen enthalten sein. Ubertragt man diese 
Struktur auf eine Schlusselhierarchie, liegen die einzelnen 
Punkte in der untersten Ebene, die Geraden in der zweiten 
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Ebene, die drei Ebenen des affinen RauTnes in der dritten 
Ebene, wobei die hochste Hierarchieebene den gesamten, die 
einzelnen Punkte, die neun Geraden und drei Ebenen 
umfassenden Raum enthalt. In der zentralen Stelle werden 
nach dem bereits ausfuhrlich beschriebenen verfahren fur 
jede Gerade, fur jede Ebene des affinen Raums 
Gruppenschlussel und fur den Raum selbst ein gemeinsamer, 
alle Kunden umfassender Schliissel generiert. Der Vorteil der 
geometrischen Strukturen und insbesondere von affinen Raumen 
besteht nun darin, daE man genau angeben kann, wieviele 
Teilmengen (Geraden Oder Ebenen) man kennen muS, um einen 
bestimmten Punkt zu ermitteln. So schneiden sich 
beispielsweise zwei nichtparallele Ebenen eines affinen 
Raums genau in einer Geraden, und drei paarweise 
nichtparallele Ebenen in genau einem Punkt. Um 
beispielsweise den individuellen Schliissel eines Piraten zu 
ermitteln, der den Gruppenschlussel einer Ebene (das 
entspricht einer Gruppe von neun Personen) des affinen 
kopiert und weiterverauSert hat, genugt es, den affinen Raum 
zu drei diskreten Zeitpunkten derart in neue Ebenen 
aufzuteilen, da£ die Ebenen nicht parallel zueinander 
verlaufen. Mit anderen Worten, mochte man einen 
unzuverlassigen Kunden aus den 27 Kunden ermitteln, muS 
neben den in Fig. 3 und 4 zu unterschiedlichen Zeitpunkten 
gebildeten Hierarchien noch eine dritte, zu einem dritten 
zeitpunkt gebildete Hierarchie erzeugt werden. werden die 
drei paarweise nicht parallelen Ebenen, denen jeweils ein 
bestimmter Gruppenschlussel zugeordnet ist, miteinander 
geschnitten, so erhait man einen gemeinsamen Schnittpunkt , 
der dem unzuverlassigen Kunden entspricht. Die zentrale 
Stelle mu6 nur noch veranlassen, daS der zu dem 
unzuverlassigen Kunden gehorende individuelle 
kryptograf ische Schliissel gesperrt wird. 

Noch einfacher wird das Verfahren zur Ermittlung eines 
unzuverlassigen Kunden durch Schnittmengenbildung, wenn 
endliche projektive Raume anstelle von endlichen affinen 



wo 99/33270 



10 



PCT/EP97/07124 



Raumen verwendet warden, da man hier nicht zwischen 
parallelen und nichtparallelen Strukturen unterscheiden muS. 
Die oben beschriebenen Verfahren konnen auch angewendet 
werden, wenn ein unzuverlassiger Kunde mehrere individuelle 
Schlussel kopiert und diese abwechselnd einsetzt. In diesem 
Fall mussen aber deutlich mehr Hierarchien zu 
unterschiedlichen Zeitpunkten gebildet werden. Kennt z.B. 
ein Pirat zwei von neun individuellen kryptograf ischen 
Schlusseln, so muS die affine Ebene insgesamt dreimal neu in 
parallele Geraden aufgeteilt werden, urn eine falschliche 
Identifizierung eines berechtigten Teilnehmers 
auszuschlieSen und einen der beiden Schlussel zu 
identif izieren. 

Anstatt zur Ermittlung des individuellen Schlussels eines 
Piraten mehrere Schlusselhierarchien zu vorbestimmten 
Zeitpunkten zu bilden mussen, ist es auch vorstellbar, daS 
verschiedene Schlusselhierarchien zur gleichen Zeit 
existieren. In Fig, 5 sind zwei verschiedene 
Schlusselhierarchien dargestellt. Mehrere gleichzeitig 
existierende Schlusselhierarchien sind sinnvoll, wenn sich 
mehrere Diensteanbieter eine Kundenchipkarte teilen. Es sei 
angenommen, dafi der Kunde 2 den die beiden Kunden 1 und 2 
enthaltenden Gruppenschlussel 10 des einen Diensteanbieters 
und den die Kunden 2, 3 und 4 enthaltenden Gruppenschlussel 
20 des anderen Diensteanbieters kopiert und weiterveraufiert 
habe. In diesem Fall kann man den unzuverlassigen Kunden 
wiederum durch Bildung der Schnittmengen der zugehorigen 
Gruppen 10 und 2 0 bestimmen. wie unter anderem aus Fig. 5 zu 
erkennen ist, mussen die Teilmengen derselben 
Hierarchieebene nicht notwendigerweise die gleiche Gr66e 
aufweisen. 
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Patentanspruche 

1. verfahren zum Sichern wenigstens eines durch eine 

vorbestitnmte Hierarchie von kryptograf ischen Schlusseln 
geschutzten Systems, insbesondere eines Pay -TV- Systems, 
gegen unberechtigte Nutzer mit folgenden 
Verf ahrensschritten : 

a) jedem Systemnutzer wird in der untersten 
Hierarchieebene ein individueller kryptograf ischer 
Schlussel zugeordnet ; 

b) die individuellen, kryptograf ischen Schlussel werden 
in einer dem System zugeordneten Speichereinrichtung 
abgespeichert ; 

c) zu vorbestimmten diskreten Zeitpunkten wird wenigstens 
eine hohere Hierarchieebene von kryptograf ischen 
Schlusseln durch folgende Schritte gebildet: 

- die kryptograf ischen Schlussel der unmittelbar 
niedrigeren Hierarchieebene werden in beliebiger Weise 
zu mehreren Teilmengen vorbestimmter GroSe 
zusammengefaSt, wobei jeder Teilmenge ein 
kryptograf ischer Schlussel zugeordnet wird, der mit 
Hilfe der die jeweilige Teilmenge bildenden 
kryptograf ischen Schlussel ubertragen und anschliefiend 
in der Speichereinrichtung abgelegt wird; 

d) Ermitteln wenigstens eines einem Nutzer zugeordneten 
individuellen kryptograf ischen Schlussels, indem die 
mengentheoretische Schnittmenge von wenigstens zwei 
vorbestimmten, zu verschiedenen Zeitpunkten gebildeten 
Teilmengen, die der gleichen Hierarchieebene 
angehoren, gebildet wird. 

2. verfahren nach Anspruch 1, dadurch gekennzeichnet , daS die 
Schritte c) und d) ersetzt werden durch die 
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Schritte: 

c') fur jedes System werden gleichzeitig wenigstens zwei 
hohere Hierarchieebene von kryptograf ischen Schlusseln 
durch folgende Schritte gebildet: 

- die kryptograf ischen Schlussel der unmittelbar 
niedrigeren Hierarchieebene werden in beliebiger 
Weise 2u mehreren Teilmengen vorbestimmter Gr6Se 
zusatnmengefa&t, wobei jeder Teilmenge ein 
kryptograf ischer Schlussel zugeordnet wird, der mit 
Hilfe der die jeweilige Teilmenge bildenden 
kryptograf ischen Schlussel ubertragen und 
anschlieSend in der Speichereinrichtung abgelegt 
wird; 

d') Ermitteln wenigstens eines, einem Nutzer zugeordneten 
individuellen kryptograf ischen Schlussels, indem die 
mengentheoretische Schnittmenge von wenigstens zwei 
vorbestiramten Teilmengen, die der gleichen 
Hierarchieebene verschiedener Schlusselhierarchien 
angehoren, gebildet wird. 

3 . Verf ahren nach Anspruch 1 Oder 2 , 

dadurch gekennzeichnet , dafi das Zusammenf assen der 
kryptograf ischen Schlussel zu Teilmengen vorbestimmter 
Gr5Se durch endliche geometrische Strukturen festgelegt 
wird. 

4. Verf ahren nach Anspruch 3, 

dadurch gekennzeichnet, daS die geometrische Struktur ein 
endlicher af finer Raum AG(d,q) der Dimension d iiber dem 
Korper GF(q) ist. 

5. verf ahren zur Ermittlung eines kryptograf ischen 
Schlussels nach Anspruch 3, 

dadurch gekennzeichnet, daS die geometrische Struktur ein 
endlicher projektiver Raum PG(d,q) der Dimension d aber 
dem Korper GF(q) ist. 
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